十問大數(shù)據(jù)安全分析(大數(shù)據(jù)安全的小船怎樣才能不翻?)
人類的生產(chǎn)生活每天都在產(chǎn)生大量的數(shù)據(jù)�����,并且產(chǎn)生的速度越來越快��。新的攻擊手段層出不窮���,需要檢測的數(shù)據(jù)越來越多��,現(xiàn)有的分析技術(shù)不堪重負�����。
安全數(shù)據(jù)的數(shù)量�、速度、種類的迅速膨脹�,導致的不僅僅是海量異構(gòu)數(shù)據(jù)的融合、存儲和管理的問題��,甚至動搖了傳統(tǒng)的安全分析體系和方法�。你了解什么是大數(shù)據(jù)安全分析么?今天�,小編帶你十問大數(shù)據(jù)安全分析。
1���、大數(shù)據(jù)安全分析的核心目標是什么?
找到隱藏在數(shù)據(jù)背后的安全真相���。
數(shù)據(jù)之間存在著關(guān)聯(lián),傳統(tǒng)分析無法將海量數(shù)據(jù)匯總����,但是大數(shù)據(jù)技術(shù)能夠應對海量數(shù)據(jù)的分析需求。通過大數(shù)據(jù)基礎(chǔ)能夠挖掘出APT攻擊�����、內(nèi)網(wǎng)隱秘通道、異常用戶行為等安全事件���。在此基礎(chǔ)上可建設(shè)為安全決策支持系統(tǒng)���,為安全決策提供數(shù)據(jù)支撐。
2�����、國內(nèi)外大數(shù)據(jù)安全分析發(fā)展現(xiàn)狀如何?
目前國外比較成熟的大數(shù)據(jù)安全分析主要通過采用大數(shù)據(jù)技術(shù)采集網(wǎng)絡(luò)流量�、安全設(shè)備日志、業(yè)務(wù)系統(tǒng)日志���、網(wǎng)絡(luò)設(shè)備日志�,并對這些數(shù)據(jù)進行挖掘�����、關(guān)聯(lián)等運算���,最后找出安全事件��。
3�、是否有成熟的大數(shù)據(jù)安全分析的方法論?
大數(shù)據(jù)是一個具體的技術(shù)實現(xiàn)。這個技術(shù)在其適用的場景下能夠解決傳統(tǒng)數(shù)據(jù)挖掘難以滿足的需求����。而安全分析方法論是一直在不斷革新的。安全分析方法論中仍然有一些理念是無法落地的�,無法落地的核心問題是缺少技術(shù)支撐。
當前采用的大數(shù)據(jù)技術(shù)不是對安全分析進行革新���,而是將安全分析曾經(jīng)無法實現(xiàn)的目標加以落地����。就如同關(guān)系型數(shù)據(jù)的理念��,其最早在1970年提出��,而落地產(chǎn)品在1976年才有相應的雛形���。大數(shù)據(jù)技術(shù)其實是安全分析方法論的落地實現(xiàn)。
4�����、大數(shù)據(jù)安全分析類項目過程中容易遇到的技術(shù)難點或需要大量投入的環(huán)節(jié)?
分析平臺目前基本是成熟的技術(shù),難點主要是前期規(guī)劃與安全分析兩個環(huán)節(jié)����。前期規(guī)劃要能夠準確的估算出硬件配置、存儲容量等基礎(chǔ)信息���,后期的安全分析需要專業(yè)人員對數(shù)據(jù)進行深入挖掘�����。
5�����、從大數(shù)據(jù)安全分析的角度如何實現(xiàn)數(shù)據(jù)驅(qū)動業(yè)務(wù)安全?
通過大數(shù)據(jù)分析能夠量化的明確當前企業(yè)中存在的安全事件�,通過安全事件驅(qū)動業(yè)務(wù)發(fā)展��,從而實現(xiàn)數(shù)據(jù)驅(qū)動業(yè)務(wù)安全的目標�����。
6�����、作為非IT類型企業(yè),要實現(xiàn)大數(shù)據(jù)安全分析所需的必要條件是什么?
專職的IT團隊���,專職的安全團隊����,必要的資源投入��,必要的流程支持����。
7、大數(shù)據(jù)安全分析可視化的技術(shù)現(xiàn)狀如何?展示的內(nèi)容���、方法�、形式有哪些?
可視化技術(shù)一直都在不斷發(fā)展中�����,在沒有大數(shù)據(jù)之前可視化技術(shù)廣泛被使用在BI系統(tǒng)中��。隨著大數(shù)據(jù)技術(shù)的成熟�����,可視化技術(shù)不僅能實現(xiàn)傳統(tǒng)的餅圖��、折線圖����、散點圖、柱狀圖�、條形圖之外,還能夠以地圖���、熱力圖���、氣泡圖、力圖�����、平行坐標圖等多維展示�����。
8�、如何從展現(xiàn)層面體現(xiàn)大數(shù)據(jù)安全分析的優(yōu)勢?
展現(xiàn)只是安全分析的最后結(jié)果呈現(xiàn)。大數(shù)據(jù)的安全分析的優(yōu)勢的核心是在于安全分析模型��。在展示層面的優(yōu)勢完全來自于安全模型的定義,僅從展示層面不好說明其優(yōu)勢����。這主要是因為,在沒有大數(shù)據(jù)技術(shù)之前可視化展示技術(shù)也在快速發(fā)展����。
9、如果從專家系統(tǒng)��、統(tǒng)計分析�����、機器學習三個維度實現(xiàn)大數(shù)據(jù)安全分析����,是否已有相應的算法或數(shù)據(jù)模型?
這三個是不同的層面。在這三個層面都有成熟的算法以及應用�����,并且都通過的實際場景的檢驗�。
◎?qū)<蚁到y(tǒng)通常是由在線與離線兩個組成部分。離線部分為客戶本地的知識庫��,里面記錄大量經(jīng)驗�,通過歷史經(jīng)驗對問題進行處理。在線部分為云端知識庫系統(tǒng)��,客戶通過云端系統(tǒng)提出問題���,解決問題���,并且在線系統(tǒng)通常為7*24小時,由全球?qū)<医恿μ幚韱栴}��。
◎統(tǒng)計分析���,通過簡單的統(tǒng)計進行數(shù)據(jù)的過濾與結(jié)果呈現(xiàn)��。通常由非專業(yè)人員進行簡單的數(shù)據(jù)統(tǒng)計工作�����。能夠從宏觀的角度發(fā)現(xiàn)一些問題��,但是無法實現(xiàn)深入的數(shù)據(jù)挖掘工作��。為了應對這樣的實際情況����,在業(yè)務(wù)系統(tǒng)中會建設(shè)數(shù)據(jù)倉庫,通過數(shù)據(jù)倉庫來實現(xiàn)數(shù)據(jù)挖掘工作�。但是由于建立數(shù)據(jù)倉庫費時費力,只有在大型集團企業(yè)中才會將其使用在安全領(lǐng)域�。
◎機器學習,實際上是程序自我矯正��,實現(xiàn)結(jié)果的準確性�。這是一個較為成熟的技術(shù),在金融領(lǐng)域有很多成熟的案例�����。機器學習主要應用在難以人為劃定規(guī)則的領(lǐng)域���,如異常流量監(jiān)測��,異常行為檢測等�。通常使用在難以通過規(guī)則進行判斷的業(yè)務(wù)場景中�。
10、對于已知的威脅模式�����,已實現(xiàn)的基于大數(shù)據(jù)的安全分析算法或模型有哪些?
◎攻擊鏈關(guān)聯(lián)分析:同一資產(chǎn),按照威脅檢測的時間進行分析�����,描述攻擊鏈條�。
◎歸并統(tǒng)計相同類型的攻擊事件進行合并�,多對一統(tǒng)計,一對多統(tǒng)計��。
◎威脅情報關(guān)聯(lián)分析根據(jù)威脅情報��,對當前的數(shù)據(jù)和歷史數(shù)據(jù)進行遞歸查詢�����,生成告警事件��。
◎異常流量學習正常訪問流量����,當流量異常時進行告警。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情�;
? 想學習CDA考試教材�����,點擊>>> “CDA教材” 了解CDA考試詳情����;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330